你的位置:pcMing工作室 >> 资讯 >> windows >> 安全&病毒 >> 详细内容 在线投稿

Trojan.PSW.Snow.a落雪病毒的手工清除方法

排行榜 收藏 打印 发给朋友 举报 来源: 互联网   发布者:未知
热度649票  浏览92次 【共0条评论】【我要评论 时间:2010年2月12日 20:08

h JTDP&r$t)[0手工清除Trojan.PSW.Snow.a落雪病毒pcMing工作室9pJY8iV Fyf K2P \

pcMing工作室5z|FA8oH;b

病毒介绍:pcMing工作室$r yQ g$_]'v0`gq7L
   “落雪”顾名思义,就是说中了该木马后,向系统释放的病毒文件非常之多。该木马也叫“游戏大盗”( Trojan/PSW.GamePass,Trojan.PSW.Snow.a,Troj.LMir2.ky),由VB 程序语言编写,通过 北斗3.1 加壳处理,该木马文件一般是红色图标。pcMing工作室t,Y;fPZ1t8w k%d
  病毒运行后,在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了 .com。江民反病毒工程师分析,这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件Msconfig.exe的时候,一般习惯上输入 Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 Msconfig.com ,病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把 winlogon.exe 的路径指向c:windowswinlogon.exe,而正常的系统进程路径是C:WINDOWSsystem32 winlogon.exe,以此达到迷惑用户的目的。pcMing工作室u_ w#TV'x6P
  江民反病毒工程师介绍,除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击html文件时,都会运行病毒。此外,病毒还在D盘下生成一个自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D盘时,病毒仍然被激活运行。pcMing工作室}B&q%k ToC-cs`
中毒症状:
?X De3@;F0  1、系统运行缓慢。pcMing工作室*z*O| j,c6@bL6d kv
  2、右下方任务栏的杀软和防火墙图标消失(被无故关闭)但杀软的右键扫描可用。pcMing工作室.S#mGwS
  3、D盘双击打不开,D盘里面有autorun.inf和pagefile.com两个文件,其中autorun.inf为隐藏属性。pcMing工作室6tW9C'^7hMN
  4、打开任务管理器,可以看到有一个当前用户所属的1.EXE在运行,或者是一个当前用户所属的一个大写的WINLOGON.EXE在运行。
`8_;HN;Q$EwQ.L.q&{0  5、打开注册表:在运行程序中运行“regedit”,会看到pcMing工作室3~ Pf.T'u3U^#E
  (1)、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 项里有一个Torjan pragramme,这是木马。pcMing工作室t_0B7Fq6O8i
  (2)、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon下的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。pcMing工作室cl m8fHTh
  6、可执行文件.exe打不开(包括杀软,防火墙)。pcMing工作室 V)NZVMr
  7、开机进入系统时会跳出一个警告框,说文件“1”找不到。(由于杀软查杀后,无法对木马更改的注册表项进行修复)。pcMing工作室3yq$XN*?}
  病毒复活方式:
.tRc e4vrVw-m/o0  1、在开始-运行里运行:msocnfig,command,regedit这些命令,病毒将全部恢复。
4dc4aG@h_sx0  2、双击病毒所有文件中的任何一个文件,病毒将完全恢复。pcMing工作室#Q8@rcCF1Zj
  3、双击D盘。
@Vf$r&nZ0  中毒后对系统的改动:
9b1\0x&_RebD0  向C盘释放:(其实都是同一个文件)pcMing工作室 @+Q!Q2J4}
c:windowswinlogon.exepcMing工作室ks8NwK6d
C:WINDOWS1.com
(lW9Y` o0C:WINDOWSExERoute.exepcMing工作室!|| e2m9[;`
C:WINDOWSiexplore.com
&EJ xg[9kaZ'M0C:WINDOWSfinder.compcMing工作室-] O;sMJ)c {4e-w7rQ9n
C:WINDOWSsystem32command.pifpcMing工作室N@3X)`&u0KY
C:Windowssystem32command.com
R_@ Rk0C:WINDOWSsystem32dxdiag.compcMing工作室n+bf2uC^'Gh
C:WINDOWSsystem32finder.com
U6Ve(zO8^;ec5D;a0C:WINDOWSsystem32MSCONFIG.COMpcMing工作室C&J-D6r^/vw~k#_;a
C:WINDOWSsystem32regedit.compcMing工作室 q'R:M O:[1DWC
C:WINDOWSsystem32rundll32.com
7tW}5\5O'r] Z0C:WindowsWINLOGON.EXEpcMing工作室LJ8|-UX2q
C:WINDOWSservices.exepcMing工作室 f7j b3H fz?|4?
C:WINDOWSDebugDebugProgramme.exe
hd9J0N)@-u0C:Program FilesCommon Filesiexplore.com
(t%`4]FVRN0C:Program FilesCommon FilesMicrosoft SharedMSInfomsinfo.rr
'W+k:Qiv AE0pcMing工作室%hT?mjfJ
   向D盘释放:
xRpPvI)Ovd0D:autorun.inf
7| eQeV7bQ%XDH%c0D:pagefile.compcMing工作室 @,S[h upG:S
  向注册表添加:pcMing工作室:Q}w\ l
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Torjan pragrammepcMing工作室c'S p?Z v:?8K IC
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon下
&e&uv7}&nC$Zq0的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。pcMing工作室3O_6N-yW9D"v Akb
pcMing工作室3?&K AH7LYz@
处理方式:pcMing工作室aJK%`?4gq v
pcMing工作室"^(Y"F`b1{x!`S
   一、ghost法,(建议菜鸟及无手动清除病毒经验者使用)pcMing工作室lCy\(XG)jb:T

%s^G9] j!qP'V xV$X,p0   1、先在D盘以外的其他盘新建了两个文本文件,在显示文件名扩展名的情况下,分别改为autorun.inf和pagefile.com,然后拷贝到D盘,覆盖了病毒在D盘的两个病毒源文件,这样这两个文件都可以正常显示了,随即直接删除,也可以在以后删除,D盘毒源就此清除。pcMing工作室3TR[)R6f4nUh
pcMing工作室Hw.NEZ(SC(XW;M
   2、然后GHOST一遍镜像,恢复系统到从前正常状态,至此OK,如果没有镜像,建议在第一步以后重新安装系统。
$ad(F0R_3m0pcMing工作室3Z:GjX0M
   为什么不逐个清理病毒程序:
wd,\3b6U(s)]p(B0
5I*nr X,uKU0   逐个清理病毒文件比较麻烦,操作需要经验加细心,由于病毒文件如上面非常多不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,或双击磁盘 ,所有的这些文件全会自己补充回来!并且清理完成后有些后遗症,例如某些文件打不开,IE需要修复等等。pcMing工作室I3@(L i)g:a c

g6B%X ^ W-Ou7N0_0   二、逐个手动清理法(中途注意不要双击到其中任何一个文件)(必须在文件夹选项里打开显示隐藏文件及显示已知文件扩展名)
&F$W B9sf? B:|N ]9a0
Ar@V)V,kS g"t U'c0   1、打开始菜单的运行,输入命令 regedit,进注册表,到
!t3y#s iaKD``g(u0pcMing工作室"S6ckB;R'`h/iXE
   HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除Torjan pragramme
V;t*_;ps9Fk-M0
3}/M8l8l*lvT0   2、然后注销! 重新进入系统后到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把pagefile.com和D:autorun.inf删掉, 然后再到C盘把上面所列出来的文件都删掉,可以对比其他文件的日期判断。
"VG&[bU,R%T0f"o_0
} u u5M/tN0   3、头号文件WINLOGON.EXE在C:WindowsWINLOGON.EXE 可能提示删不掉pcMing工作室;A.e:m7^G8bU&c G
pcMing工作室i-|+w{;A-Dz R
   可以用光盘启动进入DOS模式,把它的系统,隐藏属性去掉然后删除它!
P `b'lJ-X0优盘病毒专杀工具下载网:http://www.usbav.cnpcMing工作室'R8{v}F g+Yg/buT

'c?{[f"E_*|}0   手工病毒清除后的系统修复pcMing工作室*FD ~)tz!WLlJ/X!m
pcMing工作室%s.@Kj}Y"zP
   1、把那些病毒文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
.n{ E/i$m1R5p0
BUl+c)e5fL q lw0   到C:Windowssystem32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com ,然后双击这个COM文件,然后行动可以进入到DOS下的命令提示符。再打入以下的命令:
'i*w8Sxi!__b0
3r6m+z#UVC@^k0assoc .exe=exefile (assoc与.exe之间有空格)
0g|$J)mfR\2k"~0ftype exefile="%1" %*
.XN OZ%`([0
X.D une$pXh ~8D0   这样exe文件就可以运行了。或者用Regfix.exe,sreng.exe等工具修复,将扩展名EXE改成COM,就可打开。pcMing工作室5`!uCp/|

+e^1yf7|f a2EAf0   2、开机跳出找不到文件“1.com”pcMing工作室2Ng{7m)XyVN7A H
pcMing工作室}oI7G d2{0BDh4]
   在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]中pcMing工作室 _;NCEFgQW n-B
pcMing工作室N1m Uh#`
   把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
3]p'c*ud p)Yn0
"EH9_%T[-T {g^^2r XxI0   3、清除了这个出马出现IE不能下载 请在IE选项 然后安全 然后点默认级别就可以下载了。
pcMing工作室 ZU+Us^;[[ko'O&B

顶:40 踩:35
对本文中的事件或人物打分:
当前平均分:0.13 (178次打分)
对本篇资讯内容的质量打分:
当前平均分:0.14 (189次打分)
【已经有207人表态】
21票
感动
24票
路过
27票
高兴
26票
难过
35票
搞笑
22票
愤怒
29票
无聊
23票
同情
上一篇 下一篇
发表评论
换一张

网友评论仅供网友表达个人看法,并不表明本网同意其观点或证实其描述。

查看全部回复【已有0位网友发表了看法】

网络资源